Ho uno scenario simile che spiega perché questo potrebbe accadere (e no, non c'è un motivo per avere un dominio non protetto se non quello di supportare un vecchio client non aggiornabile o renderlo insicuro di proposito).
Ecco la storia alla base di come ha finito con diversi domini e solo 1 con SSL:
Ero solito lavorare per una fabbrica di software. Ho sviluppato un eCommerce per un cliente. Avevamo bisogno di farlo funzionare prima di un giorno particolare. Abbiamo tutto funzionante, ma HTTPS non era ancora configurato (almeno, il pagamento con carta di credito è stato effettuato su un sistema esterno reindirizzato tramite HTTPS, quindi nessuna carta di credito potrebbe essere catturata ... beh, forse phishing). Il cliente ha acquistato 2 nuovi domini per il nuovo eCommerce, e dopo qualche tempo abbiamo indicato il dominio dal suo vecchio eCommerce a quello nuovo (quindi è terminato con più di un dominio). Avremmo aggiunto HTTPS alla seconda fase dello sviluppo, ma la nostra azienda si è rotta e non potremmo mai farlo.
Dopo un po 'di tempo, un collaboratore ha avviato il freelance per questo client e ha dovuto rendere disponibile un endpoint HTTPS in modo che altri sistemi esterni potessero inviare richieste (aggiornamento del magazzino o qualcosa di simile) e rifiutasse una connessione non HTTPS. Quindi l'ho aiutato a impostare SSL su uno dei domini. Gli altri domini non hanno ottenuto un certificato SSL perché il freelancer stava già lavorando molte ore extra non retribuite e non aveva abbastanza tempo per impostare tutto correttamente.
Abbiamo avvisato il cliente che dovevano davvero proteggere tutte le connessioni, ma sfortunatamente hanno dato la priorità ad altre cose.
Quindi il sito ha un dominio con SSL e altri domini senza di esso (con la stessa funzionalità esatta)